この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Denial of Service(DoS; サービス拒絶)攻撃から CPU を保護するための推奨ベスト プラクティスについて説明します。
ここでは、Control Plane Policing(CoPP)ポリシーの概略について説明します。CoPP ポリシーは、スーパーバイザ モジュール CPU に影響を及ぼすおそれがある Denial of Service(DoS; サービス拒絶)攻撃を防ぐための、重要なセキュリティ機能です。Cisco NX-OS ソフトウェアでは、最も共通の脅威から CPU を守るために開発された「strict」ポリシーが、デフォルトで適用されます。イーサネット ポート、SVI、ポート チャネルなどの I/O ポートに IP アドレスが設定されている場合には、常に、CoPP ポリシーをイネーブルにすることを推奨します。CoPP ポリシーについての詳細な説明および推奨事項は、このマニュアルの範囲外で、このマニュアルには含まれていません。
このマニュアルでは、CoPP ポリシーの詳細については説明していませんが、Cisco Nexus 7000 シリーズ スイッチ宛てのインバンド管理トラフィックをドロップするには、CoPP ポリシーを変更することを推奨します。すべての IP 管理トラフィックがアウトオブバンド管理ネットワークを経由する場合、IP 管理トラフィックをインバンドで受信する必要はありません。CoPP ポリシーは、mgmt0 インターフェイスで受信されるトラフィックには適用されません。
1. SSHv2、SNMP、SCP、TFTP、FTP など、インバンドでドロップする必要があるトラフィックがある、イネーブルになっている管理プロトコルを特定します。
2. 新しいアクセス コントロール リストおよび新しいクラス マップを作成するか、または、既存のアクセス コントロール リストを参照する class-map type control-plane match-any copp-system-class-management コマンドで、既存のクラス マップを参照します。
3. 既存の CoPP サービス ポリシー(copp-system-policy)で、新しいクラス マップを挿入するか、または、手順 2 で特定された既存のクラス マップを変更し、次に、ポリシーに準拠するすべてのトラフィックをドロップするよう設定します。
次に、既存の copp-system-class-management クラス マップおよび関連付けられている ACL を使用する例を示します。ポリシーに準拠するトラフィックが積極的にドロップされるよう、ポリシー レートが変更されました。
(注) Cisco NX-OS Release 5.1(1) から、デフォルトの copp-system-class-management クラス マップには、FTP、NTP、NTP6、RADIUS、SFTP、SNMP、SSH、SSH6、TACACS、Telnet、TFTP、TFTP6、RADIUS、TACACS6、および Telnet6 の各プロトコルが含まれます。
Syslog メッセージのしきい値は、コントロール プレーンのポリシー マップで、CoPP クラス マップごとに設定できます。CoPP ポリシーがトラフィックをドロップしていることを、適切な人員に通知する方式として、クラス マップの Syslog メッセージのしきい値を設定することを推奨します。次に、クラスが Critical(ルーティング プロトコル)以内のパケットのドロップが記録されるよう、重大度レベル 5 で 39,600 Kb/s にしきい値を設定する例を示します。
この項は、参考のために記載しており、必要のない場合があります。
スーパーバイザ モジュール CPU へ、または、スーパーバイザ モジュール CPU から、送信されるパケットが、設定された packet per second(pps)のしきい値を超過した場合、グローバルに、および、インターフェイスごとに、レート制限を設定し、システム ログ メッセージを作成できます。レート リミッタを設定し、input(受信)オプション、output(送信)オプション、または both(送受信を同時に設定)オプションを使用して、方向に基づいてトラフィックを測定できます。both に設定されるグローバルなデフォルトしきい値は 10,000 pps です。しきい値は、0 ~ 100,000 pps の値に変更できます。この機能は、グローバルに、および、インターフェイスごとに、設定できます。この機能では、パケットはドロップされず、通知ログ メッセージが送信されるだけです。